ganfrod Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Było już kilka forów i nic nie pomogli. U was zauważyłem pochwały za pomoc więc zgłoszę się tutaj. Przyniosłem na pendrivie wirusa identyfikującego się wspomnianym kodem g recycler 470a1254.exe. Wszystko co na pendrivie było zamieniło się w skróty i nie chcę się otworzyć. Pomożecie? Poniżej logi z OTL I UsbFix.OTL - http://wklej.org/id/1033438/ USBFIX - http://wklej.org/id/1033439/ Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Proszę dostarczyć komplet logów, bo brakuje: pliku OTL Extras (opcja "Rejestr skan dodatkowy" nie została ustawiona na "Użyj filtrowania") + obowiązkowego GMER. I pokaż te "fora, gdzie nie pomogli", tzn. by było wiadome co robiono i czy coś usuwano. . Odnośnik do komentarza
ganfrod Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Nowe logiOTL - http://wklej.org/id/1034031/Extras - http://wklej.org/id/1034038/USB fix - http://wklej.org/id/1034042/GMER -http://wklej.org/id/1034070/ A co mi kazali na innych forach otóż odinstalować takie dodatki"QuickStoresToolbar", "BrowserProtect", "babylon"i zaskanować plikbabmaint.exe - którego ja nie znalazłem na swoim kompie (ukryte foldery włączone) nawet kiedy podano mi dokładna lokalizację tego pliku fizycznie tam nie było i na tym skończyla się pomoc Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 A co mi kazali na innych forach otóż odinstalować takie dodatki "QuickStoresToolbar", "BrowserProtect", "babylon" i zaskanować plik babmaint.exe - którego ja nie znalazłem na swoim kompie (ukryte foldery włączone) nawet kiedy podano mi dokładna lokalizację tego pliku fizycznie tam nie było i na tym skończyla się pomoc To co Ci zalecono nie jest w ogóle powiązane z zagadnieniem zasadniczym. To inny rodzaj śmieci, czyli adware doinstalowane w nieuważny sposób poprzez instalator zaśmieconej aplikacji (np. QuickStoresToolbar jest charakterystyczny dla Unlocker). Plik babmaint.exe także z tej kolekcji. Zalecenia były niekompletne, w systemie jest więcej śmieci adware i to będę poprawiać. To akcje jednak poboczne i nie związane z infekcją urządzenia. Wracając do logów. System nie wykazuje infekcji, tylko urządzenie, na którym: są skróty, a dane właściwe są ukryte przez atrybuty HS (ukryty systemowy). Nie widzisz danych, bo nie masz włączonych wszystkich opcji widoku. By widzieć dane, należy mieć odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Ale to nie zmieni stanu danych (atrybuty ukryte) i należy zdjąć im status ukryty. Przechodzimy do akcji usuwania adware i czyszczenia urządzenia: 1. Odinstaluj adware: - Przez Panel sterowania: Bundled software uninstaller, DealPly, Delta toolbar, Dll-Files Fixer, Pasek narzędzi AOL 5.0, StartNow Toolbar, Update Service for Dealply Certificate. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Urządzenie zainfekowane ma być podpięte, zakładam, że nadal w systemie występuje pod literą G. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files G:\*.lnk attrib /d /s -s -h G:\* /C netsh advfirewall reset /C C:\Windows\System32\Extensions C:\Windows\System32\searchplugins C:\ProgramData\Babylon C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :OTL IE - HKLM\..\SearchScopes\{6A780C7A-0F2C-4D40-A032-BAEF07C1C686}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&affID=119556&babsrc=SP_ss&mntrId=2632002100D1A798 IE - HKCU\..\SearchScopes\{6A780C7A-0F2C-4D40-A032-BAEF07C1C686}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl IE - HKCU\..\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}: "URL" = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130429&user_guid=1452593781BC4819BFFDF906F1E8B10A&machine_id=284ed1d39a59a8699467903e821c752d&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source} O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O8 - Extra context menu item: &Wyszukiwarka na pasku narzędzi AOL - C:\ProgramData\AOL\ieToolbar\resources\pl-PL\local\search.html () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.) DRV - File not found [Kernel | Unavailable | Unknown] -- C:\Windows\system32\drivers\SwiPEInjDrv.sys -- (SwiPEInjDrv) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 2 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
ganfrod Opublikowano 9 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2013 AdwCleaner - http://wklej.org/id/1034496/ OTL - http://wklej.org/id/1034499/ Poprawiło się, ale pliki na usb nadal są traktowane jak pliki systemowe i poukrywane, ale mam do nich dostęp. Co dalej? Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Zapomniałeś podać także nowy log OTL z opcji Skanuj. "Poprawa" pozorna, dostęp to Ty miałeś cały czas (nie będąc tego świadomym), po prostu nie widziałeś wcześniej danych, gdyż nie miałeś odznaczonej opcji Ukryj chronione pliki systemu operacyjnego. Teraz je widzisz, bo skan OTL przestawia tę opcję. Natomiast zasadnicza komenda zdejmowania atrybutów wcale się nie wykonała, wystąpił błąd: No captured output from command... Zmiana metody na ręczną: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: attrib /d /s -s -h G:\* Jeśli pojawi się w oknie jakiś błąd, zgłoś się na forum od razu i przedstaw co widzisz. 2. Zrób nowy log USBFix z opcji Listing, a także zaległy skan OTL. . Odnośnik do komentarza
ganfrod Opublikowano 9 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2013 USBfix - http://wklej.org/id/1034556/ OTL - http://wklej.org/id/1034563/ Zaległe logi. Operacja z cmd przebiegła bez komplikacji, a na USB pojawiły się normalne foldery.Co do pozornej poprawy - ja nie tyle nie miałem odznaczonej opcji o ukrywaniu plików systemowych co tej opcji w ogóle nie było w opcjach folderów. Pojawiła się po pierwszych działaniach. Co dalej? Czy to już koniec? Odnośnik do komentarza
picasso Opublikowano 9 Maja 2013 Zgłoś Udostępnij Opublikowano 9 Maja 2013 Zadania wykonane. Przejdź do wykończeń:1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej::Reg[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]:FilesC:\Windows\System32\roboot.exeKlik w Wykonaj skrypt. Tym razem będzie szybko, bez restartu.2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu zbędny już folder Stare dane programu Firefox.3. Wyczyść foldery Przywracania systemu: KLIK.4. Obowiązkowe aktualizacje: KLIK. Wg raportu poziom uaktualnień systemu krytyczny (luki + brak wsparcia MS) i stare wersje: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000)========== HKEY_LOCAL_MACHINE Uninstall List ==========[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}" = Adobe Shockwave Player"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"ENTERPRISE" = Microsoft Office Enterprise 2007"HOMESTUDENTR" = Microsoft Office Home and Student 2007FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) Czyli: odinstaluj stare wtyczki Adobe / Java / Silverlight, zaktualizuj cały Windows (instalacja SP2 + IE9 + reszty łat) oraz pakiety Office 2007 (instalacja dodatku SP3). Co do pozornej poprawy - ja nie tyle nie miałem odznaczonej opcji o ukrywaniu plików systemowych co tej opcji w ogóle nie było w opcjach folderów. Pojawiła się po pierwszych działaniach. To mnie bardzo dziwi, bo brak czynnej infekcji po stronie systemu (co ew. mogłoby wpływać na zanik opcji / niemożność jej przestawienia) oraz żadna z operacji tu zadanych nie miała związku z tą opcją per se... Jeśli coś się zmieniło, to być może za sprawą zainstalowanego MBAM, jeśli robiłeś nim skan.. Odnośnik do komentarza
Rekomendowane odpowiedzi